【編者按】2020年12月曝光的SolarWinds供應鏈攻擊事件成了網(wǎng)絡安全行業(yè)的頭號新聞，這一事件某種程度上將改變IT、OT和ICS網(wǎng)絡安全團隊的認知和實踐。新冠疫情全球流行及原油市場崩潰在2020年造成了相當大的干擾，并改變了IT和網(wǎng)絡安全團隊的短期工作重點。但是，在進入新年之際，網(wǎng)絡安全團隊的關注重點將重新回到基礎的網(wǎng)絡安全問題上，并且自2021年開始將關注針對OT/ICS的網(wǎng)絡攻擊防御。

　　一、SolarWinds供應鏈攻擊事件回顧

　　FireEye于2020年12月初公開披露了一個大型、復雜的網(wǎng)絡供應鏈攻擊，SolarWinds產品于2020年3月左右被攻擊者植入后門，受到了嚴重的供應鏈攻擊。

　　據(jù)官方報告描述，SolarWinds軟件在2020年3-6月期間發(fā)布的版本均受到供應鏈攻擊的影響，攻擊者在這段期間發(fā)布的2019.4-2020.2.1版本中植入了惡意的后門應用程序。這些程序利用SolarWinds的數(shù)字證書繞過驗證，并在休眠2周左右后會和第三方進行通信，并且根據(jù)返回的指令執(zhí)行操作，包括傳輸文件、執(zhí)行文件、重啟系統(tǒng)等。這些通信會偽裝成Orion Improvement Program（OIP）協(xié)議并將結果隱藏在眾多合法的插件配置文件中，從而達成隱藏自身的目的。

　　官方證實，大約有18,000個用戶已經安裝了SolarWinds的后門版本。這次攻擊的范圍不僅限于政府和網(wǎng)絡公司，還包括財富500強企業(yè)、重要的國家安全和重要的基礎設施提供商等。

　　研究人員發(fā)現(xiàn)，在SolarWinds供應鏈攻擊中使用的惡意軟件有四款，分別為Sunspot、Sunburst和Teardrop和Raindrop。攻擊者首先部署了Sunspot惡意軟件，專門在SolarWinds公司的網(wǎng)絡中使用了該惡意軟件。攻擊者使用該惡意軟件修改了SolarWinds Orion應用程序的構建過程，并將Sunburst（Solorigate）惡意軟件插入了新版本的IT網(wǎng)絡管理系統(tǒng)Orion中。

　　這些木馬化的Orion版本未被發(fā)現(xiàn)，并在2020年3月至2020年6月期間活躍在官方的SolarWinds更新服務器上。應用Orion更新的公司還不經意間在其系統(tǒng)上安裝了Sunburst惡意軟件。但是，Sunburst惡意軟件并不是特別復雜，除了收集有關受感染網(wǎng)絡的信息并將數(shù)據(jù)發(fā)送到遠程服務器之外，并沒有做太多其他事情。當黑客決定“升級訪問權限”時，他們使用Sunburst下載并安裝了Teardrop惡意軟件，但是在某些情況下黑客會選擇部署Raindrop惡意軟件。

　　遭受SolarWinds黑客入侵的安全公司至少有四家，分別為Microsoft、FireEye和CrowdStrike和Malwarebytes。美國多政府機構聯(lián)合聲稱，該供應鏈攻擊事件可能由與俄羅斯政府有關的APT組織發(fā)起。

　　OT網(wǎng)絡安全團隊必須有所準備，對工業(yè)控制系統(tǒng)的復雜攻擊將成為新常態(tài)。對于許多OT/ICS公司而言，更令人擔憂的是，SolarWinds供應鏈攻擊也集中于中小型企業(yè)。這些攻擊在數(shù)字和物理領域都敲響了警鐘。當前，網(wǎng)絡安全負責人必須立即采取行動，并在OT/ICS環(huán)境中實施網(wǎng)絡攻擊預防。

　　二、工業(yè)領域的SolarWinds受害者

　　Microsoft、FireEye、CrowdStrike等多家組織已對這一重大事件進行了跟蹤分析，深入的調查研究仍在進行中。嵌入SolarWinds SunBurst后門的技術細節(jié)已經被公開報道，第二階段的工具正在被發(fā)現(xiàn)，但攻擊的規(guī)模和幕后黑手的興趣仍在調查中。盡管如此，關于受到的組織數(shù)量以及第二階段工具可能已部署的信息仍然有限。基于對歷史C2 DNS響應的分析，有一些關于參與者的猜測。

　　卡巴斯基研究人員對有多少工業(yè)組織使用后門版本的SolarWinds并成為受害者特別關注，并進行了相關研究。

　　首先，研究人員使用了一些公共可用列表和第三方列表來分析從SunBurst域名生成算法生成的DNS名稱獲得的所有可用的已解碼內部域名。可讀和可歸屬域名的最終列表由將近2000個域名組成?？赡苁艿綋p害的工業(yè)組織經營的行業(yè)的信息如下圖所示，工業(yè)組織占名單上所有組織的總百分比估計為32.4%。

　　研究人員還分析了安裝了后門版本的SolarWinds應用程序的遙測系統(tǒng)的用戶信息，并區(qū)分了工業(yè)領域20多個組織：

　　工業(yè)組織的地理分布廣泛，包括貝寧、加拿大、智利、吉布提、印度尼西亞、伊朗、馬來西亞、墨西哥、荷蘭、菲律賓、葡萄牙、俄羅斯、沙特阿拉伯、臺灣、烏干達，和美國等國家和地區(qū)。從北美到亞太地區(qū)，所有受害者的地理位置幾乎覆蓋了整個世界。

　　SolarWinds軟件已高度集成到全球不同行業(yè)的許多系統(tǒng)中。研究人員目前尚無證據(jù)表明遙測中的任何工業(yè)組織都遭到了攻擊者的升級。

　　Truesec根據(jù)從威脅行為者使用的服務器收到的響應，提供了一份可能的第二階段受害者名單，其中包括總部位于不同國家的幾個工業(yè)組織。因此，如果符合參與者的利益，不應該排除在某些工業(yè)網(wǎng)絡中開展更廣泛活動的可能性。

　　三、常見的OT/ICS網(wǎng)絡安全謬論

　　備受矚目的SolarWinds供應鏈攻擊事件以及隨之而來的在2021年實施OT網(wǎng)絡攻擊預防措施的緊迫感，足以澄清之前關于OT/ICS網(wǎng)絡安全的謬論。

　　我們沒有受到攻擊，因此網(wǎng)絡安全并不是我們的迫切需求。該供應鏈攻擊事件表明，攻擊者在破壞關鍵基礎設施網(wǎng)絡、隱藏其偵察工作以及長時間隱藏網(wǎng)絡訪問方面的復雜程度。網(wǎng)絡入侵或破壞并不總是會導致立即可見的網(wǎng)絡攻擊。

　　我們太小了，沒人愿意攻擊我們。在當前幾乎無限制的網(wǎng)絡戰(zhàn)環(huán)境中，每個組織都在遭受攻擊，無論他們是否愿意承認。在SolarWinds Orion黑客攻擊中，該公司已通知33,000位客戶，多達18,000位用戶下載了包含后門的軟件更新，從而使攻擊者可以訪問網(wǎng)絡，顯然，其中包括大型、中型和小型企業(yè)組織。

　　網(wǎng)絡攻擊的目標是每個組織。各種規(guī)模的組織，尤其是關鍵基礎設施和流程行業(yè)的組織，都必須避免成為這些攻擊者的攻擊目標。

　　我們有氣隙隔離，因此網(wǎng)絡安全對我們來說并不擔心。在與OT和ICS運營人員的對話中，氣隙隔離仍然被頻繁的提出。SolarWinds黑客事件導致政府、國防、企業(yè)和關鍵基礎設施組織遭受后門惡意軟件的攻擊。事實證明，如今幾乎沒有組織存在真正的氣隙隔離。此外，Mission Secure多年來為世界各地運營關鍵資產（如無人機、油輪、海上平臺、煉油廠、發(fā)電廠、水處理設施、交通管理系統(tǒng)等）的客戶進行網(wǎng)絡風險評估的多年經驗表明，沒有一個真正的氣隙隔離。

　　四、緩解建議

　　2021年開始是時候關注OT/ICS環(huán)境中的網(wǎng)絡攻擊預防了。一旦進入缺乏細粒度或零信任訪問控制和微隔離的網(wǎng)絡的外圍防火墻，單點安全解決方案就不足以保護組織最重要的資產免受當今的網(wǎng)絡對手和威脅的侵害。

　　網(wǎng)絡安全公司Palo Alto Networks首席執(zhí)行官稱，每個企業(yè)和聯(lián)邦機構都需要評估其網(wǎng)絡安全。以下是針對SolarWinds可能受害者的建議：

　　1、檢查是否安裝了有后門的SolarWinds版本

　　對于所有SolarWinds客戶，美國國土安全部建議其管轄范圍內的所有組織和機構“立即從其網(wǎng)絡中斷開或關閉2019.4至2020.2.1 HF1版本的SolarWinds Orion產品”。在CISA指示受影響的實體重建Windows操作系統(tǒng)并重新安裝SolarWinds軟件包之前，禁止代理商將Windows主機操作系統(tǒng)（重新）加入企業(yè)域。

　　此外，由于黑客可能會針對類似SolarWinds的OT環(huán)境中收集設備清單的其他工具，因此建議OT網(wǎng)絡安全組織與其供應商聯(lián)系，要求提供文件，證明這些清單跟蹤機制已針對網(wǎng)絡和暴力攻擊進行加固。

　　2、實施基于網(wǎng)絡的零信任、微隔離

　　幾乎所有針對OT/ICS環(huán)境的重大網(wǎng)絡攻擊都在整個攻擊鏈中包含了一定程度的外部指揮控制（C2）和偵察或數(shù)據(jù)收集。為了最大限度地減少和/或完全防止這些攻擊技術，安全人員建議實施基于網(wǎng)絡的零信任、微隔離。

　　基于網(wǎng)絡的隔離和保護，可以識別和阻止外部C2通信以及后續(xù)的網(wǎng)絡掃描或偵察，可以防止像SolarWinds事件中Sunburst惡意軟件那樣的感染的影響。

　　此外，基于網(wǎng)絡的隔離和保護可以防止未經授權的OT/ICS協(xié)議通信以及這些技術存在的大量攻擊選項。由于OT系統(tǒng)具有廣泛的遺留問題，專有和非標準協(xié)議和接口，因此存在各種各樣的惡意和格式錯誤的協(xié)議攻擊。

　　在OT/ICS網(wǎng)絡內部實施基于網(wǎng)絡的隔離和保護可以消除大量OT威脅，從而有助于阻止OT的網(wǎng)絡攻擊。

　　3、對關鍵資產進行連續(xù)的信號完整性監(jiān)控，以防止物理基礎設施受到網(wǎng)絡攻擊

　　在OT/ICS環(huán)境中，最具破壞性的網(wǎng)絡攻擊首先是通過引入簡單的惡意軟件（例如SolarWindsSunburst惡意軟件）進行的入侵，但隨后被允許繼續(xù)進行，直到實施某種破壞性物理攻擊為止。

　　此類物理攻擊的典型示例是十年前的Stuxnet網(wǎng)絡攻擊，該攻擊專門用于破壞目標基礎結構。達到此階段的網(wǎng)絡攻擊會嚴重威脅生命、安全和環(huán)境。

　　正是出于這個原因，即使面對成功的OT網(wǎng)絡入侵，研究人員仍建議對關鍵的物理資產進行連續(xù)的信號完整性監(jiān)控，以防止這些災難性的后果。絕對不允許在物理基礎架構上進行網(wǎng)絡攻擊，并且持續(xù)進行信號完整性監(jiān)控旨在防止攻擊和這些后果。

　　4、如果檢測到安裝了后門版本的SolarWinds或相關的IOC，啟動安全事件調查并啟動事件響應程序，同時考慮所有可能的攻擊向量：

　　● 隔離已知遭到破壞的資產，同時保持系統(tǒng)的可操作性；

　　● 防止刪除可能對調查有用的IOC；

　　● 檢查所有網(wǎng)絡日志中是否有可疑的網(wǎng)絡活動；

　　● 檢查系統(tǒng)日志、事件日志和安全日志以進行非法的用戶賬戶身份驗證；

　　● 找到可疑的進程活動，調查內存轉儲和相關文件；

　　● 檢查與可疑活動相關的歷史命令行數(shù)據(jù)。

　　五、結論

　　對于OT和ICS關鍵基礎設施和流程行業(yè)公司而言，2020年是艱難的一年，就像對我們其他人一樣。而SolarWinds供應鏈攻擊事件，是小型企業(yè)和大型企業(yè)都陷入無限網(wǎng)絡戰(zhàn)爭環(huán)境的最新示例。因此，隨著進入新的一年，實施OT/ICS網(wǎng)絡攻擊預防的緊迫感將越來越明顯。